3 κρίσιμα σφάλματα RCE που απειλούν τους βιομηχανικούς ηλιακούς συλλέκτες

Εκατοντάδες συστήματα παρακολούθησης ηλιακής ενέργειας είναι ευάλωτα σε μια τριάδα κρίσιμων τρωτών σημείων απομακρυσμένης εκτέλεσης κώδικα (RCE). Οι χάκερ πίσω από το Μιτάι μπουτάνι και ακόμη και ερασιτέχνες έχουν ήδη αρχίσει να επωφελούνται, και θα ακολουθήσουν και άλλοι, προβλέπουν οι ειδικοί.

Οι ερευνητές της Μονάδας 42 της Palo Alto Networks ανακάλυψαν στο παρελθόν ότι το botnet Mirai εξαπλώνεται CVE-2022-29303, ένα σφάλμα έγχυσης εντολών στο λογισμικό της σειράς SolarView που αναπτύχθηκε από τον κατασκευαστή Contec. Σύμφωνα με τον ιστότοπο της Contec, το SolarView έχει χρησιμοποιηθεί σε περισσότερους από 30,000 σταθμούς ηλιακής ενέργειας.

Την Τετάρτη, η εταιρεία πληροφοριών ευπάθειας VulnCheck επεσήμανε σε ένα blog post ότι το CVE-2022-29303 είναι ένα από τα τρία κρίσιμα τρωτά σημεία στο SolarView και είναι κάτι περισσότερο από απλώς οι χάκερ του Mirai που τα στοχεύουν.

«Το πιθανότερο χειρότερο σενάριο είναι να χαθεί η ορατότητα στον εξοπλισμό που παρακολουθείται και κάτι να χαλάσει», εξηγεί ο Mike Parkin, ανώτερος τεχνικός μηχανικός στη Vulcan Cyber. Ωστόσο, είναι επίσης θεωρητικά πιθανό ότι «ο εισβολέας είναι σε θέση να αξιοποιήσει τον έλεγχο του παραβιασμένου συστήματος παρακολούθησης για να προκαλέσει μεγαλύτερη ζημιά ή να μπει πιο βαθιά στο περιβάλλον».

Τρεις τρύπες μεγέθους όζοντος στο SolarView

Το CVE-2022-29303 προέρχεται από ένα συγκεκριμένο τελικό σημείο του διακομιστή Web SolarView, confi_mail.php, ο οποίος αποτυγχάνει να εξυγιάνει επαρκώς τα δεδομένα εισόδου χρήστη, επιτρέποντας την απομακρυσμένη παραβίαση. Τον μήνα που κυκλοφόρησε, το σφάλμα έλαβε κάποια προσοχή bloggers ασφαλείας, ερευνητές, και ένας YouTuber που έδειξε το κατόρθωμα μια ακόμη δημόσια προσβάσιμη επίδειξη βίντεο. Αλλά δεν ήταν το μόνο πρόβλημα μέσα στο SolarView.

Για ένα πράγμα, υπάρχει CVE-2023-23333, μια εντελώς παρόμοια ευπάθεια ένεσης εντολών. Αυτό επηρεάζει ένα διαφορετικό τελικό σημείο, το downloader.php, και αποκαλύφθηκε για πρώτη φορά τον Φεβρουάριο. Και υπάρχει CVE-2022-44354, που δημοσιεύτηκε στα τέλη του περασμένου έτους. Το CVE-2022-44354 είναι μια απεριόριστη ευπάθεια μεταφόρτωσης αρχείων που επηρεάζει ακόμη ένα τρίτο τελικό σημείο, επιτρέποντας στους εισβολείς να ανεβάζουν κελύφη Ιστού PHP σε στοχευμένα συστήματα.

Το VulnCheck σημείωσε ότι αυτά τα δύο τελικά σημεία, όπως το confi_mail.php, "φαίνεται να δημιουργούν επισκέψεις από κακόβουλους κεντρικούς υπολογιστές στο GreyNoise, πράγμα που σημαίνει ότι και αυτά είναι πιθανό να βρίσκονται υπό κάποιο επίπεδο ενεργής εκμετάλλευσης."

Και τα τρία τρωτά σημεία έλαβαν «κρίσιμες» βαθμολογίες CVSS 9.8 (από 10).

Πόσο μεγάλο πρόβλημα στον κυβερνοχώρο είναι τα σφάλματα SolarView;

Μόνο περιπτώσεις του SolarView που εκτίθενται στο Διαδίκτυο διατρέχουν κίνδυνο απομακρυσμένου συμβιβασμού. Μια γρήγορη αναζήτηση στο Shodan από το VulnCheck αποκάλυψε 615 περιπτώσεις συνδεδεμένες στον ανοιχτό Ιστό από αυτόν τον μήνα.

Εδώ, λέει ο Πάρκιν, ξεκινά ο περιττός πονοκέφαλος. «Τα περισσότερα από αυτά τα πράγματα έχουν σχεδιαστεί για να λειτουργούν εντός ένα περιβάλλον και δεν θα πρέπει να χρειάζεται πρόσβαση από το ανοιχτό Διαδίκτυο στις περισσότερες περιπτώσεις χρήσης», λέει. Ακόμη και όπου η απομακρυσμένη σύνδεση είναι απολύτως απαραίτητη, υπάρχουν λύσεις που μπορούν προστασία των συστημάτων IoT από τα τρομακτικά σημεία του ευρύτερου Διαδικτύου, προσθέτει. «Μπορείτε να τα βάλετε όλα στα δικά τους εικονικά τοπικά δίκτυα (VLAN) στους δικούς τους χώρους διευθύνσεων IP και να περιορίσετε την πρόσβαση σε αυτά σε μερικές συγκεκριμένες πύλες ή εφαρμογές κ.λπ.».

Οι χειριστές ενδέχεται να διακινδυνεύσουν να παραμείνουν συνδεδεμένοι εάν, τουλάχιστον, τα συστήματά τους διορθωθούν. Είναι αξιοσημείωτο, ωστόσο, ότι 425 από αυτά τα συστήματα SolarView που αντιμετωπίζουν το Διαδίκτυο - περισσότερα από τα δύο τρίτα του συνόλου - εκτελούσαν εκδόσεις του λογισμικού χωρίς την απαραίτητη ενημέρωση κώδικα.

Τουλάχιστον όταν πρόκειται για κρίσιμα συστήματα, αυτό μπορεί να είναι κατανοητό. «Οι συσκευές IoT και λειτουργικής τεχνολογίας είναι συχνά πολύ πιο δύσκολες στην ενημέρωση σε σύγκριση με τον τυπικό υπολογιστή ή την κινητή συσκευή σας. Μερικές φορές αναγκάζει τη διοίκηση να κάνει την επιλογή να αποδεχθεί τον κίνδυνο, αντί να βάλει τα συστήματά της εκτός σύνδεσης για αρκετό καιρό ώστε να εγκαταστήσει ενημερώσεις κώδικα ασφαλείας», λέει ο Parkin.

Και τα τρία CVE επιδιορθώθηκαν στην έκδοση 8.00 του SolarView.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/3-critical-rce-bugs-threaten-industrial-solar-panels